LoA(Level of Assurance) のバックアップ(No.3) - マイクロソフト系技術情報 Wiki

バックアップ一覧
差分を表示
現在との差分を表示
ソースを表示
LoA(Level of Assurance) へ行く。
- 1 (2018-10-10 (水) 14:12:40)
- 2 (2018-10-10 (水) 15:35:10)
- 3 (2018-12-01 (土) 17:10:35)
- 4 (2019-06-19 (水) 15:06:27)
- 5 (2020-01-26 (日) 19:21:04)

「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

戻る

目次 †

↑

概要 †

NIST (米国国立標準技術研究所)の公式ドキュメント、
NIST SP 800-63で要求事項を具体的に定めている。

↑

SP 800-63-3 †

(Digital Authentication Guideline)
https://pages.nist.gov/800-63-3/

#	Document	Title	URL
1	SP 800-63-3	Digital Identity Guidelines	https://doi.org/10.6028/NIST.SP.800-63-3
2	SP 800-63A	Enrollment and Identity Proofing	https://doi.org/10.6028/NIST.SP.800-63a
3	SP 800-63B	Authentication and Lifecycle Management	https://doi.org/10.6028/NIST.SP.800-63b
4	SP 800-63C	Federation and Assertions	https://doi.org/10.6028/NIST.SP.800-63c

↑

保証タイプ †

#	レベル	略号	段階
1	Identity Assurance Level	IAL	Lv.1 – Lv.3 までの3段階
2	Authenticator Assurance Level	AAL	Lv.1 – Lv.3 までの3段階
3	Federation Assurance Level	FAL	Lv.1 – Lv.4 までの4段階

↑

Identity Assurance Level (IAL) †

ユーザが申請者（Applicant）として新規登録（SignUp?）する際に、
CSP（Credential Service Provider）が行う本人確認（Identity Proofing）の厳密さ、強度を示す。

Lv	説明
1	本人確認不要、自己申告での登録でよい
2	サービス内容により識別に用いられる属性をリモートまたは対面で確認する必要あり
3	識別に用いられる属性を対面で確認する必要があり、確認書類の検証担当者は有資格者

↑

Authenticator Assurance Level (AAL) †

登録済みユーザ（Claimant）がログインする際の認証プロセス（単要素認証 or 多要素認証、認証手段）の強度を示す。

Lv	説明
1	単要素認証でOK
2	2要素認証が必要、2要素目の認証手段はソフトウェアベースのものでOK
3	2要素認証が必要、かつ2要素目の認証手段はハードウェアを用いたもの（ハードウェアトークン等）

↑

Federation Assurance Level (FAL) †

米国連邦政府 Federal Identity Credential and Access Management (FICAM) 信頼フレームワークによって規定される4段階の保証

Assertion と Federation Protocol の特徴をカテゴリ分類し、それらの組み合わせによって FAL を定義している。
IDトークンやSAML Assertion等、Assertionのフォーマットやデータやり取りの仕方の強度を示す。

Lv	説明
1	Assertion（RPに送るIdPでの認証結果データ）への署名
2	Assertion（RPに送るIdPでの認証結果データ）への署名
3	署名に加え、対象RPのみが復号可能な暗号化
4	Lv.3に加え、Holder-of-Key Assertionの利用ユーザごとの鍵とIdPが発行したAssertionを紐づけてRPに送り、 RPはユーザがそのAssertionに紐づいた鍵を持っているかを確認

↑

LoA定義 †

LoA	IAL	AAL	FAL
1	1	1	1
2	2	2 or 3	2
3	2	2 or 3	2
4	3	3	4

↑

詳細 †

↑

保証レベル †

↑

LoA 1 †

最も基本的な第1保証レベル
- 使用されるたびに特定の資格が同じ人物を表すという合理的な保証を提供。
- 一般的なインターネットのアイデンティティに関連するおおまかな信頼。

定義
- IAL: 1
- AAL: 1
- FAL: 1

↑

LoA 2 †

基本的な金融取引に適合する第2保証レベル
- 個人の身元を合理的に保証する身元証明要件を持つ。
- 基本的な金融取引におおよそ適切なセキュリティレベルを提供。

定義
- IAL: 2
- AAL: 2 or 3
- FAL: 2

↑

LoA 3 †

2との違いは...。

定義
- IAL: 2
- AAL: 2 or 3
- FAL: 2

↑

識別子 †

↑

LoA 1 †

urn:mace:incommon:iap:bronze

↑

LoA 2 †

urn:mace:incommon:iap:silver

↑

参考 †

認証連携普及のために～信頼フレームワークの構築～ | NTTデータ
http://www.nttdata.com/jp/ja/insights/trend_keyword/2013121901.html

認証にまつわるセキュリティの新常識 - Speaker Deck
https://speakerdeck.com/kthrtty/ren-zheng-nimatuwarusekiyuriteifalsexin-chang-shi

↑

NIST SP 800-63 †

NIST SP 800-63 Digital Identity Guidelines
https://pages.nist.gov/800-63-3/

NIST 800-63C を翻訳しました - OAuth.jp
https://oauth.jp/blog/2016/07/15/nist-800-63c/

世界の電子認証基準が変わる：NIST SP800-63-3を読み解く – サポート − IDaaS シングルサインオン「SKUID」 by GMO

↑

JIPDEC †

一般財団法人日本情報経済社会推進協会（JIPDEC）
- NIST SP 800-63-3の概要と今回の改訂がもたらす影響
  https://www.jipdec.or.jp/library/report/20171127.html
- OIDF-J・JIPDEC共催OpenID BizDay?#11「NIST SP 800-63-3を読む」
  https://www.jipdec.or.jp/topics/event/20171013.html

↑

InCommon? †

InCommon?によって、LoA 1、LoA 2の保証プログラムが提供されている。

InCommon?: Security, Privacy and Trust for the Research and Education Community
https://www.incommon.org/index.html

About InCommon? https://www.incommon.org/about.html

InCommon? Assurance Program
https://www.incommon.org/assurance/
- InCommon? Assurance Profile Summaries
  https://www.incommon.org/assurance/profilesummary.html

Tags: :IT国際標準, :認証基盤